Experții Kaspersky Lab au reușit să identifice elementele specifice din modul în care hackeri din Grupul Lazarus își creează codurile de atac, iar în urma unei investigații de lungă durată au apreciat că aceștia ar fi responsabili pentru furtul a 81 de milioane de dolari de la Banca Centrală a Bangladeshului, în 2016. „În februarie 2016, un grup de hackeri (neidentificați la acea dată) a încercat să fure 851 de milioane de dolari și a reușit să transfere 81 de milioane de dolari de la Banca Centrală a Bangladeshului. Acesta este considerat unul dintre cele mai mari și mai de succes jafuri informatice realizate vreodată. Investigațiile suplimentare efectuate de cercetători din diferite companii IT de securitate, printre care și Kaspersky Lab, au indicat o probabilitate ridicată ca atacurile să fi fost efectuate de Lazarus - un grup de spionaj și sabotaj cibernetic, responsabil pentru o serie de atacuri de anvergură și cunoscut pentru atacarea unor companii industriale, instituții media și financiare în cel puțin 18 țări, începând cu 2009”, se menționează într-un comunicat al Kaspersky Lab, transmis miercuri presei.
Potrivit sursei citate, cercetătorii Kaspersky Lab au reușit să reconstruiască modul de operare al grupului Lazarus. Astfel, un singur sistem din interiorul unei bănci este spart, fie printr-un cod vulnerabil, accesibil de la distanță (de exemplu pe un server), sau printr-un atac de tip „watering hole“ cu exploit-uri plasate pe site-uri inofensive. Atunci când un asemenea site este vizitat, computerul victimei (angajat al băncii) este infectat cu malware, care instalează componente adiționale. Ulterior, grupul migrează către alte instituții din domeniul bancar și implementează backdoor-uri persistente, malware-ul permițându-le să vină și să plece oricând doresc. Grupul petrece zile și săptămâni întregi pentru a învăța cum funcționează rețeaua și pentru a identifica resursele valoroase. În cele din urmă, lansează un malware special, capabil să ocolească securitatea internă a software-ului financiar și să emită tranzacții frauduloase în numele băncii.
Conform datelor Kaspersky Lab, din decembrie 2015, au început să apară mostre malware care au legătură cu grupul Lazarus, în activitatea instituțiilor financiare, a dezvoltatorilor de programe pentru cazinouri și a afacerilor cu cripto-monede din Coreea, Bangladesh, India, Vietnam, Indonezia, Costa Rica, Malaezia, Polonia, Irak, Etiopia, Kenya, Nigeria, Uruguay, Gabon, Thailanda și în alte câteva țări. Ultimele mostre detectate de Kaspersky Lab datează din martie 2017, arătând că atacatorii nu au nicio intenție de a se opri. Grupul Lazarus investește masiv în noi variante ale programelor sale malware, iar timp de câteva luni a încercat să creeze un set de instrumente care ar fi invizibile pentru sistemele de securitate. Specialiștii Kaspersky Lab au reușit, însă, să identifice elementele specifice din modul în care hackerii își creau codurile, iar produsele companiei detectează și blochează malware-ul folosit de gruparea Lazarus.